Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » mi potete controllare il log

mi potete controllare il log Opzioni
Topic Precedente · Topic Sucessivo
mantas66
Inviato: Sunday, December 30, 2007 5:28:07 PM
Rank: Member

Iscritto dal : 8/22/2006
Posts: 9
Ciao a tutti e buone feste.

Ho inserito un post nella sezione problemi informatici, ma forse la più adatta è questa della sicurezza.

Problema:
notebook Toshiba con Avg free e antidialer.
Improvvisamente l'antidialer segnala tentativi di connessione a un 899... e a un 0081....
l'antivirus sembra disattivato e non risponde ai comandi.
Ho provato a disinstallarlo ma non avendo una versione di Avg su cd e visto che la connessione resta attiva solo per pochissimi minuti poi tenta di connettersi a quei numeri e cade la connessione, non risco a scaricare da grisoft.com una nuova versione nella speranza che riesca a funzionare l'antivirus.
Posso utilizzare ancora avg?

Ho fatto una scansione con Hijack e allego il log, potete controllarlo, grazie infinite:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.33.38, on 29/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearchIndexer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\PAOLA\IMPOST~1\Temp\2091434055.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\PAOLA\IMPOST~1\Temp\Rar$EX01.360\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programmi\Toshiba\Windows Utilities\Hotkey.exe" /lang IT
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P33 "EPSON Stylus D88 Series (Copia 1)" /O6 "USB003" /M "Stylus D88"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Emule Installer] "C:\Programmi\Emule Installer\EmuleInstaller.exe" hmw
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1105\it-it\msntabres.dll/230?729c98928ec04bb1a4f044bb70e714ae
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1105\it-it\msntabres.dll/229?729c98928ec04bb1a4f044bb70e714ae
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54F7F650-DA8F-4ED2-B581-907209BAF7B6}: NameServer = 85.37.17.4 85.38.28.70
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

--
End of file - 7151 bytes
Torna in alto
 
Sponsor
Inviato: Sunday, December 30, 2007 5:28:07 PM

 
Torna in alto
 
pidue
Inviato: Sunday, December 30, 2007 6:27:52 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, stampa la risposta, così fai prima.
scarica Killbox da questro sito:
http://sw.wintricks.it/article.php?ID=12000

Decomprimi la cartella , avvia Killbox.exe e segui i 3 passaggi sotto:
1) dove vedi scritto Full Path of File to delete clicca il pulsante a cartellina aperta che vedi a destra e cerca il file SERVICES.EXE (lo trovi seguendo il percorso C:\WINDOWS\SERVICES.EXE).
2) a questo punto seleziona la voce (a sinistra) Delete on Reboot;
3) Clicca sulla X rossa in alto a destra. Il computer verrà riavviato.

Al riavvio accertati che SERVICE.EXE non ci sia più.


Al riavvio vai nel registro
Start ---->> Esegui, quindi digita regedit e dai l'ok

Portati nelle seguenti chiavi (espandi le cartelline cliccando sul segno "+")

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

e controlla che a destra non ci siano le voci: SERVICES.EXE , C:\WINDOES\SERVICES.EXE

Se ci sono, clic col tasto destro ed eliminale;

Poi vai in quest'altra chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Nella finestra di destra trova e apri Userinit (con doppio clic)


Per eliminare la voce infetta fai così ;
- Fai doppio clic sul nome della chiave:
- Nella finestra che si apre evidenzia e cancella solo la voce ,C:\WINDOWS\SERVICE.EXE (compreso di virgola)
- Dai l'ok e chiudi il registro
ATTENZIONE Non eliminare tutta la chiave altrimenti il computer non sarà più in grado di riavviarsi

Avvia hijackthis, con tutte le applicazioni chiuse, premi su Do a system scan only , spunta ed elimina (fix checked) le seguenti righe:


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [Emule Installer] "C:\Programmi\Emule Installer\EmuleInstaller.exe" hmw


cancella il file in rosso:
_______________________________________________________________
C:\DOCUME~1\PAOLA\IMPOST~1\Temp\2091434055.exe
_______________________________________________________________

cancella i file temporanei del tuo profilo in questo modo:
Start >> Esegui. Scrivi (o copia e incolla) la stringa %temp%, clicca su Ok, così facendo accedi alla cartella temp; ---- > accertati che sia realmente vuota, perchè un virus ce l'hai proprio lì

Vai su Strumenti >> Opzioni Internet, elimina la cronologia, i files temporanei internet, i cookies;

svuota il cestino;

riavvia il computer normalmente.
Fai un controllo antivirus a questo indirizzo
Alla fine:

rinascondi le cartelle di sistema;
riattiva il ripristino configurazione di sistema e posta un log aggiornato.
Torna in alto
 
mantas66
Inviato: Wednesday, January 02, 2008 2:20:29 PM
Rank: Member

Iscritto dal : 8/22/2006
Posts: 9
Ciao Pidue,
ho eseguito parte di quello che mi hai consigliato, perchè il resto non sono riuscito a trovare le cartelle che mi indicavi nella risposta.

NON ho eseguito quanto segue:

1 regedit e controllo sulle 4 chiavi HKEY LOCAL MACHINE\software\Microsoft\Windows\current version\run

2 non ho trovato la voce ,C:\WINDOWS\SERVICE.EXE



HO eseguito:

1 cancellato le voci date da hijack this F2 - reg:system.ini..........
04 - HKCU\..\E-MULE INSTALLER....

2 cancellato buona parte dei file dati dalla ricerca %temp%

Domanda:
Posso cancellare tutto quello che c'è nella cartella trovata da %temp%?
Ho notato che ci sono delle cartelle create da Nero e da Office, posso eliminarle senza pietà?

Ho fatto una scansione con Avg in provvisoria e ha trovato 3 file trojan che fanno riferimento a SERVICE....., forse non li ho trovati nel regedit ma li ha trovati AVG?
I files sono una .dll un .exe e un altro con estensione che non ricordo.
Li ho eliminati tutti e 3 dalla quarantena e ripristinato il Restore del sistema dopo aver cancellato file temporanei di internet e il resto.


Come da tua richiesta ti allego il log rifatto con hijack dopo tutto quello che ho fatto e non fatto:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17.50.11, on 31/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\bak\hkcmd.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearchIndexer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\PAOLA\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programmi\Toshiba\Windows Utilities\Hotkey.exe" /lang IT
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB002" /M "Stylus D88"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series (Copia 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P33 "EPSON Stylus D88 Series (Copia 1)" /O6 "USB003" /M "Stylus D88"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programmi\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digisoft AntiDialer.lnk = C:\Programmi\Digisoft AntiDialer\AntiDialer.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programmi\MSN Toolbar Suite\DS\02.05.0000.1082\it-it\bin\WindowsSearch.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programmi\MSN Toolbar Suite\TB\02.05.0000.1082\it-it\msntb.dll/search.htm
O8 - Extra context menu item: Apri in nuova scheda in primo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1105\it-it\msntabres.dll/230?729c98928ec04bb1a4f044bb70e714ae
O8 - Extra context menu item: Apri in nuova scheda in secondo piano - res://C:\Programmi\MSN Toolbar Suite\TAB\02.05.0000.1105\it-it\msntabres.dll/229?729c98928ec04bb1a4f044bb70e714ae
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe

--
End of file - 7592 bytes
Torna in alto
 
pidue
Inviato: Wednesday, January 02, 2008 10:36:26 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
Ciao, non hai fixato questa voce:
__________________________________________________________________________________________________
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\SERVICES.EXE
__________________________________________________________________________________________________

E' importante cancellarla, perchè dà un sacco di problemi.

SE non riesci a fixarla, vai di registro secondo questo percorso e rileggiti sopra come fare

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Se l'operazione con HJT va a buon fine dovresti trovare la chiave a posto, ma è sempre meglio controllare.
Torna in alto
 
mantas66
Inviato: Wednesday, January 02, 2008 11:26:28 PM
Rank: Member

Iscritto dal : 8/22/2006
Posts: 9
Ciao,
io non sono riuscito a trovarla l'altro giorno passando da regedit e quindi non ho cancellato la voce dalle ,,windows...
Passo domani, neve permettendo, dalla mia amica e vedo se riesco ad eliminare la chiave.
Quindi tu dici che se faccio girare ancora hijack e spunto per eliminare tutta la riga F - REG:system.... riesco ad eliminare il problema senza creare danni?
Non devo cancellare solo la parte dopo le due virgole?
Avevo cercato seguendo le tue istruzioni ma non ho trovato la voce winlogon e di conseguenza la riga con ,,C:WINDOWS\SERVICES.EXE

Domani o al massimo sabato posso provarci.
Ci sentiamo.
Caio e grazie
carlo.
Torna in alto
 
pidue
Inviato: Thursday, January 03, 2008 5:55:07 PM

Rank: AiutAmico

Iscritto dal : 6/2/2005
Posts: 7,332
La riga F2 la devi cancellare. Poi controlli nel registro col percorso che ti ho dato e fai doppio clic su Userinit. La finestrella che si apre deve essere uguale a quella che vedi in figura.
Torna in alto
 
mantas66
Inviato: Sunday, January 13, 2008 1:15:43 AM
Rank: Member

Iscritto dal : 8/22/2006
Posts: 9
Ciao Pidue,
ti aggirno sulla telenovela virus del computer della mia amica.

La stringa C\WINDOWS\system32\userinit.exe, c'è ed è proprio scritta così, non ci sono cose tipo services ecc..

Ho finalmente trovato in Windows dei file con la scritta services e usando killbox ho tentato di eliminarne almeno uno
che vedendolo nell'elenco di windows non mostrava l'estensione .exe, ma che appena inserito nella finestra di killbox era .exe.
L'ho inserito in killbox e dato il comando di cancellarlo al riavvio.
Purtroppo al riavvio c'era ancora.

Ho guardato con il "trova" inserendo services come ricerca, ha trovato due file:

uno services in C:\WINDOWS\system32 e lo definisce "applicazione servizi e controller" e come Titolare riporta Microsoft

il secondo sempre services sempre in C:\WINDOWS\system 32 lo definisce "documento console comune" sempre titolare Microsoft ed ha l'icona con i due ingranaggi.

Un altro file trovato, ma non penso sia relativo agli altri due è:

IPod service.exe-387C9A1D.pf a questo computer viene collegato un Ipod per passarci sopra le canzoni.

Domanda: ho tentato di cancellare il file services.exe, e al riavvio è ricomparso, dovevo cercare di eliminare entrambi i file (anche quello con gli ingranaggi) insieme? Si riesce con killbox ad eliminarne due insieme? Serve la modalità provvisoria per farlo o si può stare in modalità normale?
Lampeggiava un tasto che chiedeva se eliminare file dello stesso tipo, ma non mi sono fidato a schiacciarlo per evitare di cancellare cose utili.


Il problema ora è il fatto che dopo pochissimi minuti di connessione internet, l'antidialer Grisoft entra in azione e blocca la connessione dicendi che si sta cercando di comporre dei numeri 899... (3 in totale) e così la connessione cade.
Sicuramente sia gli 899 che i prefissi internazionali non danno problemi con Alice, ma Avg non trova dei dialer, è forse meglio rivolgersi a qualche altro antivirus? Sono forse quei file services.exe che tentano di comporre quei numeri?
Una scansione on line non possiamo farla visto che la connessione dura solo 3/5 minuti. Penso non si interrompa se si disabilita l'antidialer, ma la cosa ottimale sarebbe eliminare i dialer.
Cosa possiamo fare?

Ci sentiamo, grazie
ciaoo
Torna in alto
 
Utenti presenti in questo topic
Guest

Aiutamici Forum » FORUM - Istruzioni e Guide » Sicurezza VIRUS » mi potete controllare il log


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.